Múltiples vulnerabilidades en los switches EDS-405A, EDS-408A, EDS-510A y IKS-G6824A de Moxa

• Almacenamiento en texto plano: Un potencial atacante autenticado podría ejecutar código arbitrario desde la consola. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6518 para esta vulnerabilidad
• Identificador predecible: Un potencial atacante podría recuperar la contraseña de administrador aprovechándose de que el valor de la cookie de sesión no es generado con el cifrado correcto. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6563 para esta vulnerabilidad
• Falta de cifrado: Un potencial atacante podría aprovechar la falta de cifrado en los protocolos propietarios utilizados por los switches para recuperar la contraseña de administrador. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6526 para esta vulnerabilidad
• Restricción inadecuada de intentos de autenticación: Un potencial atacante podría utilizar fuerza bruta para recuperar contraseñas, ya que no existe un control de intentos de autenticación fallidos. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6524 para esta vulnerabilidad
• Consumo de recursos: Un potencial atacante remoto podría enviar paquetes especialmente manipulados de los protocolos propietarios y conseguir una denegación de servicio.
• Desbordamiento de búfer: Los switches disponen de varios desbordamientos de búfer que podrían ser aprovechados por un potencial atacante para ejecutar código remoto o reiniciar el dispositivo. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6557 para esta vulnerabilidad
• Lecturas de memoria: Un potencial atacante podría leer direcciones arbitrarias de memoria, ya que no se comprueban adecuadamente los límites de los arrays. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6522 para esta vulnerabilidad
• Gestión de paquetes OSPF: Un potencial atacante podría enviar paquetes «Hello OSPF» malformados y conseguir el reinicio del dispositivo.
• XSS: Un potencial atacante puede aprovechar fallos en la validación de las entradas para realizar ataques de tipo XSS. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6565 para esta vulnerabilidad
• Acceso de control inadecuado: Un potencial atacante con permisos de solo lectura podría llegar a modificar la configuración debido a que la autorización no se comprueba adecuadamente. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6520 para esta vulnerabilidad
• CSRF: Un potencial atacante podría usar el navegador de un usuario autenticado para causar un ataque de tipo CSRF. [Actualización 27/02/2019] Se ha asignado el identificador CVE-2019-6561 para esta vulnerabilidad
• [Actualización 27/02/2019] Consumo incontrolado de recursos: El dispositivo podría permitir a un atacante remoto con autentificación provocar la caída del switch mediante el envío de paquetes especialmente diseñados. Se ha asignado el identificador CVE-2019-0000 para esta vulnerabilidad.

No se ha asignado CVE para ninguna de las vulnerabilidades.